검색을 위해 Resource Explorer 뷰에 대한 액세스 권한 부여

사용자가 새로운 뷰로 검색할 수 있으려면 먼저 AWS 리소스 탐색기 뷰에 대한 액세스 권한을 부여해야 합니다. 이렇게 하려면 뷰로 검색해야 하는 AWS Identity and Access Management(IAM) 보안 주체에 대해 자격 증명 기반 권한 정책을 사용하세요.

액세스 권한을 제공하려면 사용자, 그룹 또는 역할에 권한을 추가합니다.

• AWS IAM Identity Center의 사용자 및 그룹:

  권한 세트를 생성합니다. AWS IAM Identity Center 사용 설명서의 권한 세트 생성의 지침을 따르세요.

• 자격 증명 공급자를 통해 IAM에서 관리되는 사용자:

  아이덴티티 페더레이션을 위한 역할을 생성합니다. IAM 사용 설명서의 서드 파티 자격 증명 공급자의 역할 만들기(연합)의 지침을 따르세요.

• IAM 사용자:

  • 사용자가 맡을 수 있는 역할을 생성합니다. IAM 사용 설명서에서 IAM 사용자의 역할 생성의 지침을 따르세요.

  • (권장되지 않음) 정책을 사용자에게 직접 연결하거나 사용자를 사용자 그룹에 추가합니다. IAM 사용 설명서에서 사용자(콘솔)에 권한 추가의 지침을 따르세요.

다음 방법 중 하나를 사용할 수 있습니다.

• 기존 AWS 관리형 정책을 사용합니다. Resource Explorer는 사용자가 사용할 수 있도록 미리 정의된 여러 AWS 관리형 정책을 제공합니다. 사용 가능한 모든 AWS 관리형 정책에 대한 자세한 내용은 AWS 에 대한 관리형 정책 AWS 리소스 탐색기를 참조하세요.

  예를 들어 AWSResourceExplorerReadOnlyAccess 정책을 사용하여 계정의 모든 뷰에 검색 권한을 부여할 수 있습니다.

• 권한 정책을 직접 생성하여 보안 주체에게 할당합니다. 정책을 직접 생성하는 경우 정책 문의 Resource 요소에 각 뷰의 Amazon 리소스 이름(ARN)을 지정하여 단일 뷰 또는 사용 가능한 뷰의 하위 집합에 대한 액세스를 제한할 수 있습니다. 예를 들어, 다음 예제 정책을 사용하여 보안 주체에게 해당 뷰 하나만 사용하여 검색할 수 있는 권한을 부여할 수 있습니다.

  {
      "Version": "2012-10-17",
      "Statement": [
          {
              "Effect": "Allow",
              "Action": [
                  "resource-explorer-2:Search",
                  "resource-explorer-2:GetView"
              ],
              "Resource": "arn:aws:resource-explorer-2:us-east-1:123456789012:view/MyTestView/1a2b3c4d-5d6e-7f8a-9b0c-abcd11111111
          }
      ]
  }

  IAM 콘솔을 사용하여 권한 정책을 생성하고 해당 권한이 필요한 보안 주체와 함께 사용할 수 있습니다. IAM 권한에 대한 자세한 내용은 다음 항목을 참조하세요.

  • IAM의 정책 및 권한

  • IAM 자격 증명 권한 추가 및 제거

  • 정책에 의해 부여된 권한 이해

태그 기반 권한 부여를 사용하여 뷰에 대한 액세스 제어

특정 리소스만 포함된 결과를 반환하는 필터를 사용하여 여러 뷰를 생성하려는 경우 해당 리소스를 확인해야 하는 보안 주체만 해당 뷰에 액세스할 수 있도록 제한할 수도 있습니다. ABAC(속성 기반 액세스 제어) 전략을 사용하여 계정의 뷰에 이러한 유형의 보안을 제공할 수 있습니다. ABAC에서 사용하는 속성은 AWS에서 작업을 시도하려는 보안 주체와 액세스하려는 리소스 모두에 연결된 태그입니다.

ABAC는 보안 주체에 연결된 표준 IAM 권한 정책을 사용합니다. 정책은 정책 문의 Condition 요소를 사용하여 요청 보안 주체에 연결된 태그와 영향을 받는 리소스에 연결된 태그가 모두 정책의 요구 사항과 일치하는 경우에만 액세스를 허용합니다.

예를 들어 회사의 프로덕션 애플리케이션을 지원하는 모든 AWS 리소스에 태그 "Environment" = "Production"를 추가할 수 있습니다. 프로덕션 환경에 액세스할 권한이 있는 보안 주체만 해당 리소스를 볼 수 있도록 하려면 해당 태그를 필터로 사용하는 Resource Explorer 뷰를 생성합니다. 그런 다음 뷰에 대한 액세스를 적절한 주체로만 제한하려면 다음 예제 요소와 비슷한 조건을 가진 정책을 사용하여 권한을 부여합니다.

{
    "Effect": "Allow",
    "Action": [ "service:Action1", "service:Action2" ],
    "Resource": "arn:aws:arn-of-a-resource",
    "Condition": { "StringEquals": {"aws:ResourceTag/Environment": "${aws:PrincipalTag/Environment}"} }
}

이전 예제의 Condition은 요청을 하는 보안 주체에 연결된 Environment 태그가 요청에 지정된 리소스에 연결된 Environment 태그와 일치하는 경우에만 요청을 허용하도록 지정했습니다. 이 두 태그가 정확히 일치하지 않거나 태그 중 하나가 누락된 경우 Resource Explorer는 요청을 거부합니다.

중요

ABAC를 사용하여 리소스에 대한 액세스를 보호하려면 먼저 보안 주체 및 리소스에 연결된 태그를 추가하거나 수정할 수 있는 기능에 대한 액세스를 제한해야 합니다. 사용자가 AWS 보안 주체 또는 리소스에 연결된 태그를 추가하거나 수정할 수 있는 경우 해당 사용자는 해당 태그로 제어되는 권한에 영향을 미칠 수 있습니다. 안전한 ABAC 환경에서는 승인된 보안 관리자만 주체에 연결된 태그를 추가하거나 수정할 수 있는 권한을 가지며, 보안 관리자와 리소스 소유자만 리소스에 연결된 태그를 추가하거나 수정할 수 있습니다.

ABAC 전략을 성공적으로 구현하는 방법에 대한 자세한 내용은 IAM 사용 설명서의 다음 주제를 참조하세요.

• IAM 자습서: 태그를 기반으로 AWS 리소스에 액세스할 수 있는 권한 정의

• 태그를 사용한 AWS 리소스 액세스 제어

필요한 ABAC 인프라를 마련한 후에는 태그 사용 시작을 사용하여 계정에서 Resource Explorer 뷰를 사용하여 검색할 수 있는 사용자를 제어할 수 있습니다. 원칙을 설명하는 정책의 예제를 보려면 다음 권한 정책 예를 참조하세요.

• 태그를 기반으로 뷰에 액세스 권한 부여

• 태그를 기반으로 뷰를 생성할 수 있는 액세스 권한 부여